Fortinet zet zijn toewijding aan veilige productontwikkeling en verantwoorde openbaarmaking van kwetsbaarheden kracht bij

21 mei 2024

Fortinet maakt bekend dat het zijn streven naar verantwoorde radicale transparantie verder kracht bijzet. Fortinet is een van de eerste ondertekenaars van de Secure by Design-belofte die door de Cybersecurity & Infrastructure Security Agency (CISA) is opgesteld. Dit is een vrijwillige toezegging door spelers in de security-sector om veiligheid door ontwerp na te streven. De ondertekening hiervan vormt aan aanvulling op de bestaande best practices voor softwarebeveiliging die Fortinet erop nahoudt.

Deze zijn ontwikkeld door de CISA, NIST, andere Amerikaanse overheidsinstellingen en internationale brancheorganisaties. De Security by Design-belofte heeft betrekking op zeven doelstellingen, waaronder een verantwoorde openbaarmaking van kwetsbaarheden. Dit vormt al een kernonderdeel van de inspanningen van Fortinet op het gebied van veilige productontwikkeling

Jim Richberg, head of Cyber Policy en Global Field CISO bij Fortinet: “Fortinet is een rolmodel van het eerste uur als het gaat om ethisch verantwoorde productontwikkeling en openbaarmaking van kwetsbaarheden. We zorgen er proactief voor dat onze producten aansluiten op internationale standaarden en best practices op het gebied van cybersecurity. Kortom: we hanteren de hoogste beveiligingsnormen bij alles wat we doen. De oproep van de CISA aan spelers in de security-sector om hetzelfde te doen juichen we dan ook van harte toe. We stellen het enorm op prijs dat de CISA bereid is om met Fortinet toe te werken naar de realisatie van deze belangrijke doelen. We moedigen andere partijen binnen de technologische gemeenschap aan om zich achter dit initiatief te scharen om organisaties veilig te houden.”

Veiligheid door ontwerp en verantwoorde openbaarmaking van kwetsbaarheden

Het nieuwe initiatief van CISA sluit naadloos aan op de bestaande aanpak van productontwikkeling van Fortinet. Deze gaat al uit van de principes ‘secure by design’ (veilig door ontwerp) en ‘secure by default’ (standaard veilig). Fortinet houdt tijdens alle stadia van de levenscyclus van productontwikkeling de beveiliging van zijn producten nauwlettend in het oog. Daarmee maakt de beveiliging een integraal deel van het ontwerp van al zijn producten, van het begin tot het einde van hun levenscyclus. De aanpak van Fortinet omvat onder meer:

  • Secure Product Development Lifecycle (SPDLC): Fortinet zorgt ervoor dat zijn processen aansluiten op belangrijke normen als NIST 800-53, NIST 800-161, NIST 800-218, US EO 14028 en wetgeving zoals de UK Telecom Security Act. 
  • Uitgebreide tests van beveiligingsoplossingen: Voordat Fortinet zijn producten op de markt uitbrengt onderwerpt het die altijd aan grondige testprocessen. Hiervoor maakt het gebruik van technieken als static application security testing (SAST), analyses van de samenstelling van softwareoplossingen, dynamic application security testing (DAST), scans op kwetsbaarheden, fuzz testing, penetratietests en handmatige inspecties van code.
  • Trusted Supplier-programma: Fortinet hanteert een rigoureuze procedure voor de selectie van zijn productiepartners. Het werkt daarbij volgens de richtlijn NIST 800-161: ‘Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations’. De toewijding van Fortinet aan gegevensbescherming, privacy en beveiliging vindt haar uiting tijdens elk stadium van de ontwikkeling, productie en levering van zijn producten.
  • Het Fortinet Information Security Program: Dit programma stoelt op brancheleidende beveiligingsstandaarden en –kaders zoals ISO 27001/2, ISO 27017 en 27018, NIST 800-53 en wetgeving voor gegevensbescherming en privacy zoals de GDPR en CCPA.
  • Certificeringen door onafhankelijke partijen: De producten van Fortinet worden regelmatig door externe partijen geïnspecteerd en gecertificeerd voor beveiligingsstandaarden en productkwaliteitsnormen zoals NIST FIPS 140-2 en NIAP Common Criteria NDcPP / EAL4+.

Het Product Security Incident Response Team (PSIRT) van Fortinet ziet erop toe dat de oplossingen van Fortinet aan alle beveiligingsnormen voldoen. Het hanteert een van de meest robuuste programma’s binnen de branche voor de proactieve en transparante openbaarmaking van kwetsbaarheden. Bijna 80% van alle uitgelichte kwetsbaarheden werden intern gedetecteerd op basis van een rigoureus auditingproces. Deze proactieve aanpak maakt het mogelijk om fixes te ontwikkelen en toe te passen om misbruik door cybercriminelen te voorkomen. Fortinet werkt samen met klanten, onafhankelijke beveiligingsanalisten, consultants, brancheorganisaties en andere security-leveranciers om zijn PSIRT-missie ten uitvoer te leggen.

Fortinet streeft naar een cultuur van verantwoorde radicale transparantie. Het zet dit streven kracht bij door de samenwerking op te zoeken met organisaties in de publieke en private sector.

  • Als medeoprichter van de Network Resilience Coalition draagt Fortinet bij aan de ontwikkeling van praktische oplossingen voor de beveiliging van netwerken en gevoelige data. Deze bieden ook een antwoord op het vraagstuk van organisaties die nalaten om beveiligingsupdates voor hardware- en softwareoplossingen te installeren.
  • Als lid van de Joint Cyber Defense Collaborative (JCDC) die in 2021 door CISA werd opgericht werkt Fortinet samen met organisaties in de publieke en private sector aan de verzameling, analyse en uitwisseling van praktisch toepasbare informatie om proactieve bescherming te bieden tegen cyberbedreigingen.
  • Als medeoprichter van de Cyber Threat Alliance (CTA) deelt Fortinet informatie over de laatste cyberbedreigingen met andere spelers in de security-sector. Op die maner kan het klanten effectievere bescherming tegen cybercriminelen bieden.
  • Fortinet werkt als medeoprichter van het Centre for Cybersecurity (C4C) van het World Economic Forum samen met diverse wereldleiders om de uitwisseling van bedreigingsinformatie binnen de security-sector te bevorderen. Het doel is om cyberaanvallen op wereldwijde schaal terug te dringen en de activiteiten van cybercriminelen te dwarsbomen.

Paneldiscussie over radicale transparantie tijdens RSAC 2024 

Fortinet organiseert tijdens de RSA Conference 2024 de paneldiscussie “No More Secrets in Cybersecurity: Implementing Radical Transparency” plaats. De aanwezigen komen meer te weten over de manieren waarop verantwoorde radicale transparantie bijdraagt aan veerkrachtiger bescherming tegen cyberbedreigingen. Deze sessie vindt plaats op donderdag 9 mei van 10:50 tot 11:40 in Moscone South – 156.

Aan de paneldiscussie nemen gerenommeerde experts uit de security-wereld deel, onder wie:

  • Dr. Carl Windsor, senior vice president Product Technology & Solutions bij Fortinet
  • Michael Daniel, bestuursvoorzitter en CEO van de Cyber Threat Alliance
  • Eric Goldstein, executive assistant director Cybersecurity bij de CISA
  • Suzanne Spaulding, voormalig ondersecretaris van het Amerikaanse Ministerie van Binnenlandse Veiligheid

Geïnteresseerden kunnen zich hier aanmelden. 

redactie@belgiumcloud

redactie@belgiumcloud

Persberichten, blogs en andere content kunt u mailen naar robbert@belgiumcloud.com

Pin It on Pinterest

Share This